JP2012034169A - Packet authentication system, authentication method, and program - Google Patents

Packet authentication system, authentication method, and program Download PDF

Info

Publication number
JP2012034169A
JP2012034169A JP2010171596A JP2010171596A JP2012034169A JP 2012034169 A JP2012034169 A JP 2012034169A JP 2010171596 A JP2010171596 A JP 2010171596A JP 2010171596 A JP2010171596 A JP 2010171596A JP 2012034169 A JP2012034169 A JP 2012034169A
Authority
JP
Japan
Prior art keywords
authentication
data
packet
data packet
authentication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010171596A
Other languages
Japanese (ja)
Other versions
JP2012034169A5 (en
Inventor
Tetsuya Murakami
哲也 村上
Satoshi Matsushima
聡 松嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Access Co Ltd
SoftBank Corp
Original Assignee
Access Co Ltd
SoftBank BB Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Access Co Ltd, SoftBank BB Corp filed Critical Access Co Ltd
Priority to JP2010171596A priority Critical patent/JP2012034169A/en
Publication of JP2012034169A publication Critical patent/JP2012034169A/en
Publication of JP2012034169A5 publication Critical patent/JP2012034169A5/ja
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an authentication system, authentication method, and program, in which a sender or a receiver of a packet can be authenticated for each packet without being provided with an authentication protocol different from the one for sending/receiving the packet and without a packet transfer capability being affected.SOLUTION: An authentication system comprises a first device and a second device that is connected with the first device through a first network. The first device includes: an authentication data embedding part for embedding authentication data in a data packet; and a packet transmission part for transmitting the data packet, in which the authentication data is embedded, to the second device. The second device includes: a packet reception part for receiving the data packet from the first device; an authentication data extraction part for extracting the authentication data from the received data packet; and a validity determination part for determining the validity of a sender or a receiver of the data packet on the basis of the extracted authentication data.

Description

本発明は、ネットワーク上で送受信されるパケットの認証システム、認証方法、およびプログラムに関する。   The present invention relates to an authentication system, an authentication method, and a program for packets transmitted and received on a network.

通常、ユーザが個人宅内の端末を用いてインターネットを利用するためには、ISP(Internet Service Provider)などのネットワークサービス提供者によって提供されるインターネット接続サービスに加入する必要がある。ユーザは、このようなサービスに加入することにより、電子メールアカウントの提供や、ポータルサイトからのコンテンツの提供など、サービス提供者による様々なサービスを利用することができる。このようなサービスの提供にあたり、サービス加入者以外の者によるサービスの不正利用や、サービス提供者へのなりすましなどを防ぐために、サービス提供者とサービス加入者との間でセキュリティを確保するための認証が必要となる。   Usually, in order for a user to use the Internet using a terminal in a private home, it is necessary to subscribe to an Internet connection service provided by a network service provider such as an ISP (Internet Service Provider). By subscribing to such a service, the user can use various services provided by the service provider, such as provision of an e-mail account and provision of content from a portal site. In providing such services, authentication to ensure security between the service provider and the service subscriber in order to prevent unauthorized use of the service by a person other than the service subscriber and impersonation of the service provider. Is required.

この場合の認証方法としては、PPP(Point to Point Protocol)におけるユーザIDおよびパスワードを用いたPAPやCHAPなどの認証プロトコルが良く知られている。これは、サービス加入者の端末からサービス提供者に対して接続要求を行なう際に、サービス提供者側のルータとサービス加入者側の端末との間でユーザIDおよびパスワードがやり取りされ、正当な加入者であるか否かなどが確認される。そして、正当な加入者であることが確認された場合には、サービス提供ルータから当該サービス加入者端末へサービスの提供が開始される。また、PPPでは、各加入者の認証結果や、次に認証を行なうタイミング等のステータスを保持することにより、ユーザ毎の接続状況が管理されている。さらに、PPPの機能をイーサネット(登録商標)上で利用するためにPPPoe(PPP over Ethernet(登録商標))と呼ばれる通信プロトコルも知られている。PPPoeでは、PPPをカプセル化して、サービス提供ルータと当該サービス加入者端末との間にトンネルを確立する。また、PPPoeでは、トンネルのセットアップの際に、PPPの認証プロトコルを用いた認証が行なわれ、各トンネルにおける認証結果などステータスが管理される。   As an authentication method in this case, an authentication protocol such as PAP or CHAP using a user ID and password in PPP (Point to Point Protocol) is well known. This is because when a connection request is made from the service subscriber terminal to the service provider, a user ID and a password are exchanged between the router on the service provider side and the terminal on the service subscriber side. It is confirmed whether or not it is a person. When it is confirmed that the subscriber is a valid subscriber, the service provision router starts to provide the service to the service subscriber terminal. Further, in PPP, the connection status for each user is managed by holding the status of the authentication result of each subscriber and the timing of the next authentication. Furthermore, a communication protocol called PPPoe (PPP over Ethernet (registered trademark)) is also known in order to use the PPP function on the Ethernet (registered trademark). In PPPe, PPP is encapsulated and a tunnel is established between the service providing router and the service subscriber terminal. Further, in PPPoe, authentication using the PPP authentication protocol is performed at the time of tunnel setup, and the status such as the authentication result in each tunnel is managed.

また、特許文献1には、データパケットの送信元アドレスのなりすましを防ぐための認証方法が記載されている。特許文献1の認証システムでは、移動ステーションから仮想接続の確立のために送信されるパケットデータアドレスが、予めゲートウェイノードにおいて記憶される。その後、ゲートウェイノードにて、移動ステーションからデータパケットを受信すると、該受信したデータパケットにおける送信元アドレスと、記憶されたパケットデータアドレスとが比較され、送信元アドレスが正当であるか否かが判断される。   Patent Document 1 describes an authentication method for preventing spoofing of a transmission source address of a data packet. In the authentication system of Patent Document 1, a packet data address transmitted from a mobile station for establishing a virtual connection is stored in advance in a gateway node. Thereafter, when the gateway node receives a data packet from the mobile station, the source address in the received data packet is compared with the stored packet data address to determine whether the source address is valid. Is done.

特開2007−259507号公報JP 2007-259507 A

ここで、特許文献1のシステムや一般的なPPPまたはPPPoeにおける認証システムでは、実際のパケットの送受信とは別に、認証のための装置間でのやり取りが必要となり、仕組みが複雑であるとともに、認証が完了するまではデータパケットの疎通を行なうことができない。また、PPPやPPPoeでは、各加入者(トンネル)におけるステータスを個別に管理する必要があるため、特に加入者の数が多い場合には、ステータス管理のために必要とされる処理能力も膨大となり、スケーラビリティが問題となる。   Here, in the system of Patent Document 1 and a general PPP or PPPoe authentication system, communication between devices for authentication is required in addition to actual packet transmission / reception, and the mechanism is complicated. Data packets cannot be communicated until the process is completed. In addition, in PPP and PPPoe, it is necessary to manage the status of each subscriber (tunnel) individually, so that the processing capacity required for status management becomes enormous especially when the number of subscribers is large. Scalability becomes a problem.

さらに、上記のような従来の認証システムでは、認証が行なわれた後、一定時間の間はその認証を有効とする場合が多い。そのため、一旦認証された加入者に関しては、その後なりすまし等の不正な利用があった場合も、一定時間の間は正当な加入者として処理が行なわれてしまう。とはいえ、パケットの送受信毎に、毎回ユーザIDやパスワードなどの認証処理を別途行なう場合には、処理のオーバーヘッドが大きくなり、パケット転送能力に影響を与えることになる。さらに、特許文献1の認証システムの場合には、ゲートウェイノードにおいて、認証のためにパケットデータアドレスをあらかじめ記憶するためのデータベース等を備える必要がある。   Further, in the conventional authentication system as described above, the authentication is often valid for a certain time after the authentication is performed. For this reason, once authenticated subscribers are processed as legitimate subscribers for a certain period of time even if there is unauthorized use such as impersonation thereafter. However, if authentication processing such as a user ID and password is separately performed every time a packet is transmitted and received, the processing overhead increases and affects the packet transfer capability. Furthermore, in the case of the authentication system of Patent Document 1, it is necessary to provide a database or the like for storing packet data addresses in advance for authentication in the gateway node.

本発明は上記の事情に鑑みてなされたものであり、パケットの送受信とは別の認証プロトコルを必要とせず、且つ、パケット転送能力に影響を与えることなく、パケット単位で該パケットの送信者および受信者の認証を行なうことが可能な認証システム、該認証方法およびプログラムを提供することを目的とする。   The present invention has been made in view of the above circumstances, does not require an authentication protocol different from packet transmission / reception, and does not affect the packet transfer capability. It is an object of the present invention to provide an authentication system capable of authenticating a recipient, the authentication method, and a program.

上記の課題を解決するため、本発明により、第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、第1の装置は、データパケットに認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備え、第2の装置は、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする認証システムが提供される。   In order to solve the above-mentioned problem, according to the present invention, there is provided an authentication system comprising a first device and a second device connected to the first device via a first network, The apparatus includes an authentication data embedding unit that embeds authentication data in a data packet, and a packet transmission unit that transmits the data packet in which the authentication data is embedded to the second device. A packet receiving unit that receives a data packet from one device, an authentication data extracting unit that extracts authentication data from the received data packet, and a sender or receiver of the data packet based on the extracted authentication data There is provided an authentication system comprising a legitimacy judging unit that judges legitimacy.

このように構成することにより、パケットの送受信とは別の認証プロトコルを備えることなく、送受信されるデータパケットに埋め込まれた認証用データに基づいて、パケット単位で送信者または受信者の認証が可能になる。これにより、第1の装置および第2の装置間のデータパケット通信におけるセキュリティを確保することができる。   With this configuration, it is possible to authenticate the sender or receiver on a packet basis based on the authentication data embedded in the transmitted / received data packet without providing an authentication protocol different from the packet transmission / reception. become. Thereby, security in data packet communication between the first device and the second device can be ensured.

また、上記認証システムにおいて、第2の装置の正当性判断部は、データパケットに基づいて認証用データを算出し、認証用データ抽出部において抽出した認証用データと、算出した認証用データとを比較して、該データパケットの送信者または受信者の正当性を判断するよう構成しても良い。さらに、正当性判断部は、抽出した認証用データと、算出した認証用データとが一致しない場合には、該データパケットの送信者または受信者は正当でないと判断して、該データパケットを破棄する構成としても良い。   In the authentication system, the validity judgment unit of the second device calculates authentication data based on the data packet, and uses the authentication data extracted by the authentication data extraction unit and the calculated authentication data. In comparison, the validity of the sender or receiver of the data packet may be determined. Further, when the extracted authentication data and the calculated authentication data do not match, the validity determination unit determines that the sender or receiver of the data packet is not valid and discards the data packet. It is good also as composition to do.

また、上記データパケットは、アウターヘッダによってカプセル化されたものであり、認証用データ埋め込み部は、認証用データを該アウターヘッダに埋め込む構成としても良い。また、この場合、アウターヘッダは、IPv6アドレスであり、認証用データ埋め込み部は、IPv6アドレスのインターフェースID部に、認証用データを埋め込む構成としても良い。または、アウターヘッダは、IPv4アドレスであり、認証用データ埋め込み部は、IPv4アドレスのホスト部に、認証用データを埋め込む構成としても良い。このように構成することで、データパケットの送受信には影響を与えることなく、データパケットに認証のためのデータを埋め込むことが可能となり、パケット送受信とは別の認証を備えることなく、セキュリティを確保することが可能となる。   The data packet may be encapsulated by an outer header, and the authentication data embedding unit may be configured to embed authentication data in the outer header. In this case, the outer header may be an IPv6 address, and the authentication data embedding unit may embed authentication data in the interface ID portion of the IPv6 address. Alternatively, the outer header may be an IPv4 address, and the authentication data embedding unit may be configured to embed authentication data in the host unit of the IPv4 address. With this configuration, it is possible to embed data for authentication in the data packet without affecting the transmission / reception of the data packet, ensuring security without providing authentication different from the packet transmission / reception. It becomes possible to do.

また、上記認証用データ埋め込み部は、データパケットの送信元アドレスに認証用データを埋め込み、正当性判断部は、データパケットの送信元アドレスに埋め込まれた認証用データに基づいて、データパケットの送信者の正当性を判断するものであっても良い。または、認証用データ埋め込み部は、データパケットの宛先アドレスに認証用データを埋め込み、正当性判断は、データパケットの宛先アドレスに埋め込まれた認証用データに基づいて、データパケットの受信者の正当性を判断するものであっても良い。   The authentication data embedding unit embeds authentication data in the transmission source address of the data packet, and the validity determination unit transmits the data packet based on the authentication data embedded in the transmission source address of the data packet. It is also possible to judge the legitimacy of the person. Alternatively, the authentication data embedding unit embeds the authentication data in the destination address of the data packet, and the validity determination is performed based on the authentication data embedded in the destination address of the data packet. It may be a thing to judge.

また、上記認証システムにおいて、第2の装置は、第1のネットワークと第2のネットワークを接続するものであり、データパケットを、第2のネットワークへ転送するパケット転送部をさらに備え、正当性判断部は、抽出した認証用データと、算出した認証用データとが一致する場合には、データパケットの送信者または受信者は正当であると判断して、該データパケットをパケット転送部へ送信する構成としても良い。これにより、正当であると判断された送信者または受信者によるデータパケットのみを第2のネットワークへと転送することが可能となる。   In the authentication system, the second device connects the first network and the second network, further includes a packet transfer unit that transfers the data packet to the second network, and determines the validity. When the extracted authentication data matches the calculated authentication data, the unit determines that the sender or receiver of the data packet is valid and transmits the data packet to the packet transfer unit It is good also as a structure. Thereby, it becomes possible to transfer only the data packet by the sender or the receiver determined to be valid to the second network.

また、第1のネットワークはIPv6対応の地域IPネットワークであり、第2のネットワークはIPv6対応のパブリックネットワークであっても良いし、第1のネットワークはIPv4ネットワークであり、第2のネットワークはIPv6ネットワークであっても良い。   The first network may be a regional IP network that supports IPv6, the second network may be a public network that supports IPv6, the first network is an IPv4 network, and the second network is an IPv6 network. It may be.

また、上記認証システムにおいて、認証用データは、データパケットから求められるチェックサム値、またはデータパケットから求められるハッシュ値であっても良い。また、認証用データは、認証サーバから提供されても良いし、予め第1の装置および第2の装置に記憶されていても良い。   In the authentication system, the authentication data may be a checksum value obtained from the data packet or a hash value obtained from the data packet. Further, the authentication data may be provided from an authentication server, or may be stored in advance in the first device and the second device.

さらに、第1の装置はサービス加入者ルータであり、第2の装置はサービス提供ルータであっても良く、第1の装置はサービス提供ルータであり、第2の装置はサービス加入者ルータであっても良い。さらに、第1の装置または第2の装置は、携帯端末装置としても良い。   Further, the first device may be a service subscriber router, the second device may be a service providing router, the first device is a service providing router, and the second device is a service subscriber router. May be. Furthermore, the first device or the second device may be a mobile terminal device.

また、本発明により、ネットワークを介して第2の装置と接続される第1の装置であって、データパケットに、認証用データを埋め込む認証用データ埋め込み部と、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信部と、を備えることを特徴とする装置、ならびに、ネットワークを介して第1の装置と接続される第2の装置であって、第1の装置からデータパケットを受信するパケット受信部と、受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする装置が提供される。   Further, according to the present invention, a first device connected to a second device via a network, an authentication data embedding unit that embeds authentication data in a data packet, and data in which authentication data is embedded A packet transmission unit that transmits a packet to a second device, and a second device connected to the first device via a network, from the first device A packet receiving unit that receives the data packet, an authentication data extracting unit that extracts the authentication data from the received data packet, and the validity of the sender or receiver of the data packet based on the extracted authentication data And a legitimacy judging unit for judging the above.

また、本発明により、第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなるネットワークシステムにおける認証方法であって、第1の装置における、データパケットに認証用データを埋め込む認証用データ埋め込みステップと、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信ステップと、第2の装置における、第1の装置からデータパケットを受信するパケット受信ステップと、受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法が提供される。   According to the present invention, there is also provided an authentication method in a network system including a first device and a second device connected to the first device via a first network, the first method comprising: An authentication data embedding step for embedding the authentication data in the data packet; a packet transmission step for transmitting the data packet in which the authentication data is embedded to the second device; and a data packet from the first device in the second device. A packet receiving step for receiving data, an authentication data extracting step for extracting authentication data from the received data packet, and determining the validity of the sender or receiver of the data packet based on the extracted authentication data And an authenticity determining step.

また、本発明により、ネットワークを介して第2の装置と接続される第1の装置における認証方法であって、データパケットに、認証用データを埋め込む認証用データ埋め込みステップと、認証用データが埋め込まれたデータパケットを第2の装置へ送信するパケット送信ステップと、を含むことを特徴とする認証方法、およびネットワークを介して第1の装置と接続される第2の装置における認証方法であって、第1の装置からデータパケットを受信するパケット受信ステップと、受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法が提供される。   Further, according to the present invention, there is provided an authentication method in a first apparatus connected to a second apparatus via a network, wherein an authentication data embedding step for embedding authentication data in a data packet, and authentication data are embedded. A packet transmission step of transmitting the received data packet to a second device, and an authentication method in a second device connected to the first device via a network, A packet receiving step for receiving a data packet from the first device, an authentication data extracting step for extracting authentication data from the received data packet, and a sender of the data packet based on the extracted authentication data Or an authenticity judging step for judging the legitimacy of the recipient.

さらに、本発明により、上記認証方法をコンピュータに実行させるためのプログラムが提供される。   Furthermore, the present invention provides a program for causing a computer to execute the authentication method.

したがって、本発明によれば、パケットの送受信とは別の認証プロトコルを必要とせずに、容易にパケット毎の送信者および受信者の認証を行なうことが可能な認証システム、認証方法およびプログラムを提供することができる。   Therefore, according to the present invention, there is provided an authentication system, an authentication method, and a program capable of easily authenticating a sender and a receiver for each packet without requiring an authentication protocol different from packet transmission / reception. can do.

本発明の実施形態における認証システムのネットワーク構成の概略を示した図である。It is the figure which showed the outline of the network structure of the authentication system in embodiment of this invention. 本発明の実施形態における認証システムのCPEおよびリレールータの概略構成を示す図である。It is a figure which shows schematic structure of CPE and the relay router of the authentication system in embodiment of this invention. 本発明の実施形態におけるデータパケットのフォーマットを示す図である。It is a figure which shows the format of the data packet in embodiment of this invention.

以下、図面を参照して、本発明の実施形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1は、本発明の第1の実施形態に係る認証システムにおけるネットワーク構成の概略を示す図である。図1に示されるように、本発明の認証システムは、ユーザ宅内のPC等である端末1aおよび1bを第1のネットワーク100に接続するためのCPE(Customer Premise Equipment)2aおよび2b、ならびに第1のネットワーク100と第2のネットワーク200を接続するためのリレールータ5からなる。本実施形態において、リレールータ5は、ISPによるインターネット接続サービスを提供するためのサービス提供ルータである。また、CPE2aは、サービス提供ルータから提供されるサービスの加入者宅内に設置されるサービス加入者ルータであり、CPE2bは、サービス提供ルータから提供されるサービスには加入していない、非加入者宅内のルータである。   FIG. 1 is a diagram showing an outline of a network configuration in the authentication system according to the first embodiment of the present invention. As shown in FIG. 1, the authentication system of the present invention includes CPE (Customer Premise Equipment) 2 a and 2 b for connecting terminals 1 a and 1 b, such as PCs in a user's home, to the first network 100, and the first The relay router 5 for connecting the network 100 and the second network 200 to each other. In the present embodiment, the relay router 5 is a service providing router for providing an Internet connection service by ISP. The CPE 2a is a service subscriber router installed in the subscriber premises of the service provided from the service providing router, and the CPE 2b is not subscribed to the service provided from the service providing router. Router.

また、本実施形態において、第1のネットワーク100は地域IPネットワーク等のIPv6(Internet Protocol Version 6)対応の第三者IPネットワークであり、第2のネットワーク200はインターネットなどのIPv6対応のパブリックネットワークである。本実施形態においては、リレールータ5によって、端末1aから送信されるデータパケットが第三者IPネットワークである第1のネットワーク100を介してパブリックネットワークである第2のネットワーク200へと転送される。この場合、リレールータ5とCPE2aとの間では「IPv6 over IPv6」と呼ばれるトンネリング技術が用いられる。   In the present embodiment, the first network 100 is a third-party IP network compatible with IPv6 (Internet Protocol Version 6) such as a regional IP network, and the second network 200 is a public network compatible with IPv6 such as the Internet. is there. In the present embodiment, the data packet transmitted from the terminal 1a is transferred by the relay router 5 to the second network 200, which is a public network, via the first network 100, which is a third party IP network. In this case, a tunneling technique called “IPv6 over IPv6” is used between the relay router 5 and the CPE 2a.

まず、一般的なIPv6 over IPv6トンネリングにおいて、端末1aから第2のネットワーク200上にあるサーバ6にデータパケットを送信する場合の処理の流れについて、図1を参照して説明する。まず、IPv6 over IPv6トンネリングでは、CPE2aに2つのIPv6アドレスが割り当てられる。一つは、第1のネットワーク100内のDHCPやRASから付与されるIPv6アドレスAD1であり、もう一つはサービス提供者であるISPから割り当てられるIPv6アドレスAD2である。ここで、IPv6アドレスAD1は、第1のネットワーク100内転送用のアドレスであり、第2のネットワーク200においては使用できない。また、IPv6アドレスAD2は、第2のネットワーク200内転送用のアドレスであり、第1のネットワーク100においては使用できない。   First, in general IPv6 over IPv6 tunneling, the flow of processing when a data packet is transmitted from the terminal 1a to the server 6 on the second network 200 will be described with reference to FIG. First, in IPv6 over IPv6 tunneling, two IPv6 addresses are assigned to the CPE 2a. One is an IPv6 address AD1 assigned by DHCP or RAS in the first network 100, and the other is an IPv6 address AD2 assigned by an ISP as a service provider. Here, the IPv6 address AD1 is an address for transfer within the first network 100 and cannot be used in the second network 200. The IPv6 address AD2 is an address for transfer within the second network 200 and cannot be used in the first network 100.

端末1aでは、第2のネットワーク200上にあるWebサーバ等のサーバ6にデータパケットを送信するため、ISPより割り当てられたIPv6アドレスAD2に基づいてデータパケットが生成され、CPE2aに送られる。そして、CPE2aでは、端末1aから受信したデータパケットのアウターヘッダとして、第1のネットワーク内転送用のIPv6アドレスAD1が付加される。すなわち、端末1aから送信されるデータパケットが、IPv6アドレスAD1によりカプセル化される。ここで、第1のネットワーク100内のDHCPやRASからCPE2aに割り当てられるのは、IPv6アドレスのプレフィックスのみである。そして、CPE2aでは、割り当てられたプレフィックスに含まれるアドレスを自身のアドレスとして使用する。例えば、「2100:100::/48」といったIPv6プレフィックスが割り当てられた場合、CPE2aは、例えば「2100:100::1」を自身のIPv6アドレスAD1として設定し、当該アドレスを用いてデータパケットのカプセル化を行なう。   Since the terminal 1a transmits the data packet to the server 6 such as a Web server on the second network 200, the data packet is generated based on the IPv6 address AD2 assigned by the ISP and sent to the CPE 2a. Then, in the CPE 2a, the first IPv6 address AD1 for intra-network transfer is added as an outer header of the data packet received from the terminal 1a. That is, the data packet transmitted from the terminal 1a is encapsulated by the IPv6 address AD1. Here, only the prefix of the IPv6 address is assigned to the CPE 2a from DHCP or RAS in the first network 100. The CPE 2a uses the address included in the assigned prefix as its own address. For example, when an IPv6 prefix such as “2100: 100 :: / 48” is assigned, the CPE 2a sets, for example, “2100: 100 :: 1” as its own IPv6 address AD1, and uses that address for the data packet. Encapsulate.

続いて、CPE2aにてカプセル化されたデータパケットは、第1のネットワーク100内を転送されリレールータ5へ送られる。ここで、CPE2aとリレールータ5の間では、第1のネットワーク100内転送用のIPv6アドレスAD1におけるプレフィックスに基づいてルーティングが行なわれる。その後、リレールータ5において、受信したデータパケットのカプセル化が解除され、リレールータ5から第2のネットワーク200上のサーバ6へと転送される。   Subsequently, the data packet encapsulated by the CPE 2 a is transferred through the first network 100 and sent to the relay router 5. Here, routing is performed between the CPE 2 a and the relay router 5 based on the prefix in the IPv6 address AD 1 for transfer within the first network 100. Thereafter, in the relay router 5, the received data packet is decapsulated and transferred from the relay router 5 to the server 6 on the second network 200.

また、第2のネットワーク200上のサーバ6から、端末1aへの応答としてデータパケットが送信された場合、当該データパケットを受信したリレールータ5は、CPE2aと同様に、データパケットを第1のネットワーク100内転送用として用いられるIPv6アドレスAD1にてカプセル化する。そして、カプセル化されたデータパケットは、第1のネットワーク100内を転送されCPE2aへ送られる。この場合も、上記のようにCPE2aとリレールータ5の間は、IPv6アドレスのプレフィックスのみに基づいてルーティングが行なわれるため、「2100:100::/48」に含まれるアドレスを宛先としたデータパケットは全てCPE2aに送信される。   When a data packet is transmitted as a response to the terminal 1a from the server 6 on the second network 200, the relay router 5 that has received the data packet transmits the data packet to the first network, as with the CPE 2a. Encapsulate with IPv6 address AD1 used for intra-100 transfer. The encapsulated data packet is transferred through the first network 100 and sent to the CPE 2a. Also in this case, since routing is performed between the CPE 2a and the relay router 5 only based on the prefix of the IPv6 address as described above, the data packet having the address included in “2100: 100 :: / 48” as the destination Are all transmitted to the CPE 2a.

CPE2aでは、転送されたデータパケットが自局のアドレス(すなわち「2100:100::1」)のものであるかを判断する。そして、自局宛てのものである場合には、データパケットのカプセル化を解除し、端末1aへと転送する。一方、受信したデータパケットが自局宛てでない場合には、該データパケットを破棄する。このように、本実施形態では、IPv6 over IPv6トンネリングにより、割り当てられたIPv6アドレスのプレフィックスに基づいてパケットの送受信を行なうことで、CPE2aとリレールータ5との間のトンネリングを実現する。すなわち、本実施形態のようなIPv6 over IPv6トンネリングでは、CPE2aとリレールータ5との間では、ユーザIDやパスワードに基づく認証などのネゴシエーションを必要とせず、各サービス加入者(CPE)について個別のステータス管理も行なわない。このようにトンネルのステータス管理が行なわれないトンネルをステートレストンネルという。   The CPE 2a determines whether the transferred data packet is the address of its own station (that is, “2100: 100 :: 1”). If it is destined for the local station, the data packet is unencapsulated and transferred to the terminal 1a. On the other hand, if the received data packet is not addressed to the own station, the data packet is discarded. Thus, in the present embodiment, tunneling between the CPE 2a and the relay router 5 is realized by performing packet transmission / reception based on the assigned IPv6 address prefix by IPv6 over IPv6 tunneling. That is, in IPv6 over IPv6 tunneling as in this embodiment, negotiation such as authentication based on a user ID or a password is not required between the CPE 2a and the relay router 5, and individual statuses are provided for each service subscriber (CPE). There is no management. A tunnel in which tunnel status management is not performed is called a stateless tunnel.

ここで、IPv6 over IPv6におけるデータパケットのフォーマットは、誰もが容易に知ることができるため、上述のようなステートレストンネルにおいては、悪意のある者によって、リレールータ5から提供されるサービスが不正に利用されることがある。例えば、図1の破線矢印で示されるように、サービス加入者ではない端末1bのユーザが、不正にリレールータ5を利用してサーバ6にデータパケットを送ったり、非加入者ルータであるCPE2bがリレールータ5になりすまして、CPE2aから送られるパケットを不正に受信したりすることが考えられる。このような事態を防ぐため、本実施形態では、サービス提供者側のリレールータ5と加入者側のCPE2aとの間で共通するアルゴリズムに基づいた認証機能を備え、パケット単位での送信者および受信者の認証を行なう構成を備えている。   Here, since the format of the data packet in IPv6 over IPv6 can be easily known by anyone, in the stateless tunnel as described above, the service provided from the relay router 5 is illegally performed by a malicious person. May be used. For example, as indicated by a broken line arrow in FIG. 1, a user of the terminal 1b who is not a service subscriber illegally sends a data packet to the server 6 using the relay router 5, or a CPE 2b which is a non-subscriber router It is conceivable to impersonate the relay router 5 and receive a packet sent from the CPE 2a illegally. In order to prevent such a situation, in this embodiment, an authentication function based on an algorithm common between the relay router 5 on the service provider side and the CPE 2a on the subscriber side is provided. A configuration for authenticating a person.

本実施形態におけるパケット単位の認証について、図2および図3を参照して説明する。図2は、本実施形態におけるCPE2aおよびリレールータ5の概略構成を示すブロック図であり、図3は各段階におけるデータパケットのフォーマットを示す図である。尚、図2に示されるCPE2aおよびリレールータ5の各部の処理は、CPE2aおよびリレールータ5が備えるROMなどのメモリ(不図示)に記憶されたプログラムを呼び出すことにより、同じくCPE2aおよびリレールータ5が備えるCPU(不図示)にて実行される構成であっても良いし、各装置にASIC(Application Specific Integrated Circuit)として各部の処理の全部または一部を実装し、該ASICによってハードウェア的に実現される構成としても良い。   Authentication in units of packets in the present embodiment will be described with reference to FIGS. FIG. 2 is a block diagram showing a schematic configuration of the CPE 2a and the relay router 5 in the present embodiment, and FIG. 3 is a diagram showing a data packet format at each stage. 2 is executed by calling a program stored in a memory (not shown) such as a ROM provided in the CPE 2a and the relay router 5 so that the CPE 2a and the relay router 5 are similarly operated. It may be configured to be executed by a CPU (not shown) provided, or all or part of the processing of each unit is mounted as an ASIC (Application Specific Integrated Circuit) in each device, and realized by hardware by the ASIC It is good also as a structure to be performed.

本実施形態の認証システムでは、送受信されるデータパケット毎に、送信者および/または受信者の認証が行なわれる。この場合の送信者/受信者とは、CPE2aおよびリレールータ5のいずれかまたは両方である。まず、送信者の認証について説明する。図2における実線矢印は、端末1aから第2のネットワーク200上のサーバ6へデータパケットが送信される場合の流れを示す。この場合は、リレールータ5にて、受信したデータパケットの送信者の正当性が判断される。まず、端末1aでは、第2のネットワーク200上のサーバ6を宛先として、図3(a)に示されるデータパケット10aが生成される。データパケット10aは、第2のネットワーク200内転送用のIPv6送信元アドレスおよび宛先アドレスを含むインナーIPv6ヘッダとペイロードからなる。端末1aにおいて生成されたデータパケット10aは、CPE2aへと送信される。   In the authentication system of this embodiment, the sender and / or the recipient are authenticated for each data packet transmitted and received. In this case, the sender / recipient is either or both of the CPE 2a and the relay router 5. First, sender authentication will be described. A solid line arrow in FIG. 2 indicates a flow when a data packet is transmitted from the terminal 1 a to the server 6 on the second network 200. In this case, the relay router 5 determines the legitimacy of the sender of the received data packet. First, in the terminal 1a, the data packet 10a shown in FIG. 3A is generated with the server 6 on the second network 200 as the destination. The data packet 10a includes an inner IPv6 header and a payload including an IPv6 transmission source address and a destination address for transfer within the second network 200. The data packet 10a generated in the terminal 1a is transmitted to the CPE 2a.

CPE2aでは、パケット受信部21にてデータパケット10aを受信する。そして、受信したデータパケット10aは認証用データ埋め込み部22へ送られる。認証用データ埋め込み部22では、まず認証用データ生成部220にて、認証に使用するためのデータが生成される。本実施形態では、認証用データ生成部220において、データパケット10aから求められる16ビットのチェックサム値を認証用データとして生成する。具体的には、データパケット10aの全てを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値とする。通常、チェックサム値は、データパケットのIPヘッダに埋め込まれ、データパケットに含まれるデータの改ざんや破損の有無を確認するために用いられる。これに対し、本実施形態においては、後述するように、データパケットの受信者もしくは送信者が正当であるか否かを判断するために、チェックサム値を認証用データとして用いる。   In the CPE 2a, the packet receiver 21 receives the data packet 10a. The received data packet 10 a is sent to the authentication data embedding unit 22. In the authentication data embedding unit 22, first, the authentication data generation unit 220 generates data for use in authentication. In the present embodiment, the authentication data generation unit 220 generates a 16-bit checksum value obtained from the data packet 10a as authentication data. Specifically, all the data packets 10a are added in units of 16 bits, and the 1's complement of the lower 16 bits of the total is used as the checksum value. Usually, the checksum value is embedded in the IP header of the data packet and used to check whether the data included in the data packet is falsified or damaged. On the other hand, in this embodiment, as will be described later, the checksum value is used as authentication data in order to determine whether the receiver or sender of the data packet is valid.

続いて、データパケット10aは、認証用データ生成部220で生成された認証用データとともにカプセル化部225に送られる。カプセル化部225では、データパケット10aに、アウターIPv6ヘッダが付加され、図3(b)に示すデータパケット10bとされる。ここで、上記のように、通常のIPv6 over IPv6では、アウターIPv6ヘッダとして、第1のネットワーク100内転送用のIPv6アドレスAD1が付加される。これに対し、本実施形態では、IPv6アドレスAD1に、認証用データ生成部220にて生成された認証用データを埋め込んだものを、アウターIPv6ヘッダとして使用する。   Subsequently, the data packet 10 a is sent to the encapsulation unit 225 together with the authentication data generated by the authentication data generation unit 220. In the encapsulation unit 225, the outer IPv6 header is added to the data packet 10a to obtain the data packet 10b shown in FIG. Here, as described above, in normal IPv6 over IPv6, the IPv6 address AD1 for transfer within the first network 100 is added as the outer IPv6 header. On the other hand, in this embodiment, the IPv6 address AD1 in which the authentication data generated by the authentication data generation unit 220 is embedded is used as the outer IPv6 header.

図3(c)は、認証用データが埋め込まれたアウターIPv6ヘッダを示す図である。IPv6アドレスAD1は、各々128ビットの送信元アドレスおよび宛先アドレスを含む。そして、送信元アドレスおよび宛先アドレスの上位64ビットは、ネットワークを表す「プレフィックス」(IPv4の「ネットワーク部」に相当)であり、下位64ビットは端末を表す「インターフェースID」(IPv4の「ホスト部」に相当)である。   FIG. 3C is a diagram illustrating an outer IPv6 header in which authentication data is embedded. The IPv6 address AD1 includes a 128-bit source address and a destination address. The upper 64 bits of the transmission source address and the destination address are a “prefix” (corresponding to “IPv4“ network part ”), and the lower 64 bits are an“ interface ID ”(IPv4“ host part ”indicating a terminal). Is equivalent).

上記したように、CPE2aにはIPv6アドレスAD1としては、IPv6アドレスのプレフィックスのみが割り当てられ、該プレフィックスに基づいてCPE2aとリレールータ5との間のルーティングが行なわれる。すなわち、IPv6アドレスAD1のインターフェースID部はCPE2aにおいて自由に使用することができる。そこで、本実施形態では、IPv6アドレスAD1の送信元アドレスにおけるインターフェースID部の下位16ビットに、認証用データを埋め込んでアウターIPv6ヘッダとする。ここで、認証用データとして用いるチェックサム値は、全てのビットが0または1になる可能性がある。そのような認証用データをそのまま送信元アドレスの下位16ビットに埋め込むと、アドレスが不正なものとされる可能性があるため、数ビットずらして埋め込むことも可能である。また、チェックサム値は16ビットに限定されるものではなく、送信元アドレスのインターフェースID部に埋め込み可能な、8〜64ビットの間で適宜設定可能である。尚、認証用データ埋め込み部22は、認証用データを生成してからカプセル化を行なうだけでなく、例えば、カプセル化を行なってから認証用データを生成し、認証用データの埋め込みを行なう構成としても良いし、認証用データの生成とカプセル化を並行して行なう構成としても良い。   As described above, only the IPv6 address prefix is assigned to the CPE 2a as the IPv6 address AD1, and routing between the CPE 2a and the relay router 5 is performed based on the prefix. That is, the interface ID part of the IPv6 address AD1 can be freely used in the CPE 2a. Therefore, in the present embodiment, authentication data is embedded in the lower 16 bits of the interface ID portion in the source address of the IPv6 address AD1 to form an outer IPv6 header. Here, all bits of the checksum value used as the authentication data may be 0 or 1. If such authentication data is embedded as it is in the lower 16 bits of the source address, the address may be invalid, so that it may be embedded with a shift of several bits. The checksum value is not limited to 16 bits, and can be appropriately set between 8 and 64 bits that can be embedded in the interface ID portion of the source address. The authentication data embedding unit 22 not only performs the encapsulation after generating the authentication data, but also generates the authentication data after encapsulating and embeds the authentication data, for example. Alternatively, the authentication data may be generated and encapsulated in parallel.

こうして、認証用データ埋め込み部22にて認証用データが埋め込まれたデータパケット10bは、パケット送信部23に送られる。パケット送信部23に送られたデータパケット10bは、その後アウターIPv6ヘッダのプレフィックスに基づいて第1のネットワーク100内をルーティングされ、リレールータ5へと送られる。   Thus, the data packet 10 b in which the authentication data is embedded in the authentication data embedding unit 22 is sent to the packet transmission unit 23. The data packet 10 b sent to the packet transmission unit 23 is then routed through the first network 100 based on the prefix of the outer IPv6 header and sent to the relay router 5.

リレールータ5では、パケット受信部51にてデータパケット10bを受信する。そして、受信したデータパケット10bは、パケット認証部54へ送られる。パケット認証部54では、まず、認証用データ抽出部540にて、受信したデータパケット10bのアウターIPv6ヘッダから、認証用データが抽出される。詳しくは、アウターIPv6ヘッダの送信元アドレスにおけるインターフェースID部の下位16ビットが、認証用データとして抽出される。   In the relay router 5, the packet receiver 51 receives the data packet 10 b. The received data packet 10b is sent to the packet authentication unit 54. In the packet authentication unit 54, first, the authentication data extraction unit 540 extracts authentication data from the outer IPv6 header of the received data packet 10b. Specifically, the lower 16 bits of the interface ID portion in the source address of the outer IPv6 header are extracted as authentication data.

続いて、データパケット10bからIPv6アウターヘッダが取り外され、データパケット10bのカプセル化が解除される。カプセル解除されたデータパケットは、図3(a)に示すデータパケット10aとなる。そして、カプセル化が解除されたデータパケット10aは、抽出された認証用データと共に正当性判断部545へ送られる。正当性判断部545では、まず、データパケット10aからチェックサム値が計算される。ここでは、CPE2aの認証用データ生成部220と同様に、データパケット10aを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値として求める。ここで、パケット認証部54においても、チェックサム値の計算後に認証用データの抽出が行なわれても良く、さらにチェックサム値の計算と認証用データの抽出とが並行して行なわれても良い。   Subsequently, the IPv6 outer header is removed from the data packet 10b, and the encapsulation of the data packet 10b is released. The decapsulated data packet becomes a data packet 10a shown in FIG. The decapsulated data packet 10a is sent to the validity judgment unit 545 together with the extracted authentication data. The validity judgment unit 545 first calculates a checksum value from the data packet 10a. Here, similarly to the authentication data generation unit 220 of the CPE 2a, the data packets 10a are added in units of 16 bits, and the 1's complement of the lower 16 bits of the total is obtained as a checksum value. Here, also in the packet authentication unit 54, the authentication data may be extracted after the checksum value is calculated, and the checksum value calculation and the authentication data extraction may be performed in parallel. .

続いて、正当性判断部545は、求めたチェックサム値と、抽出した認証用データが一致するか否かを判断する。そして、求めたチェックサム値と、抽出した認証用データが一致する場合には、当該データパケット10aの送信元は正当であると判断され、データパケット10aがパケット送信部53へと送られる。一方、求めたチェックサム値と、抽出した認証用データが一致しない場合は、当該データパケット10aの送信元は正当ではないと判断され、データパケット10aが破棄される。パケット送信部53は、受信したデータパケット10aを、インナーIPv6ヘッダに基づいて、第2のネットワーク200に転送する。そして、データパケット10aは、第2のネットワーク200をルーティングされ、サーバ6へと送られる。   Subsequently, the validity determination unit 545 determines whether or not the obtained checksum value matches the extracted authentication data. When the obtained checksum value matches the extracted authentication data, it is determined that the transmission source of the data packet 10 a is valid, and the data packet 10 a is sent to the packet transmission unit 53. On the other hand, if the obtained checksum value does not match the extracted authentication data, it is determined that the transmission source of the data packet 10a is not valid, and the data packet 10a is discarded. The packet transmission unit 53 transfers the received data packet 10a to the second network 200 based on the inner IPv6 header. Then, the data packet 10 a is routed through the second network 200 and sent to the server 6.

このように、正当な送信者であるサービス加入者ルータ(CPE2a)から送信されるデータパケットには、サービス提供者側のリレールータ5と共通するアルゴリズムにより求めたチェックサム値が認証用データとして送信元アドレスに埋め込まれるため、リレールータ5にて正当な送信者であると判断される。一方、正当な加入者でないCPE2bからリレールータ5にデータパケットが送信された場合には、該データパケットには認証用データが埋め込まれていないため、リレールータ5において、正当な送信者でないと判断され、破棄される。これにより、リレールータ5のパケット送信部53からは、正当な送信者から送信されたデータパケット10aのみが第2のネットワーク200へと転送される。   As described above, in the data packet transmitted from the service subscriber router (CPE 2a) which is a legitimate sender, the checksum value obtained by the algorithm common to the relay router 5 on the service provider side is transmitted as authentication data. Since it is embedded in the original address, the relay router 5 determines that it is a valid sender. On the other hand, when a data packet is transmitted from the CPE 2b which is not a valid subscriber to the relay router 5, the authentication data is not embedded in the data packet, so the relay router 5 determines that the data packet is not a valid sender. And destroyed. Thereby, only the data packet 10 a transmitted from the legitimate sender is transferred to the second network 200 from the packet transmission unit 53 of the relay router 5.

次に受信者の認証について説明する。図2における破線矢印は、第2のネットワーク200上のサーバ6から端末1aへの応答としてデータパケットが送信される際の処理の流れを示す。この場合は、正当な受信者のみが当該データパケットを受信可能とすることによって、受信者の正当性が確認される。まず、サーバ6では、上記端末1aと同様に図3(a)に示すフォーマットを有するデータパケット10aが生成され、第2のネットワーク200を介してリレールータ5へ転送される。リレールータ5では、パケット受信部51にてデータパケット10aを受信する。そして、受信したデータパケット10aを認証用データ埋め込み部52へ送る。認証用データ埋め込み部52では、まず認証用データ生成部520にて、認証に使用するためのデータが生成される。具体的には、認証用データ生成部520では、上記CPE2aの認証用データ生成部220と同様の方法で、データパケット10aから16ビットのチェックサム値が求められ、認証用データとして使用される。   Next, recipient authentication will be described. 2 indicates the flow of processing when a data packet is transmitted as a response from the server 6 on the second network 200 to the terminal 1a. In this case, the legitimacy of the receiver is confirmed by allowing only the legitimate receiver to receive the data packet. First, the server 6 generates a data packet 10 a having the format shown in FIG. 3A as in the case of the terminal 1 a and transfers the data packet 10 a to the relay router 5 via the second network 200. In the relay router 5, the packet receiver 51 receives the data packet 10a. The received data packet 10 a is sent to the authentication data embedding unit 52. In the authentication data embedding unit 52, first, the authentication data generation unit 520 generates data for use in authentication. Specifically, the authentication data generation unit 520 obtains a 16-bit checksum value from the data packet 10a by the same method as the authentication data generation unit 220 of the CPE 2a and uses it as authentication data.

続いて、データパケット10aが、認証用データ生成部520で生成された認証用データとともにカプセル化部525に送られる。カプセル化部525では、CPE2aのカプセル化部225と同様に、アウターIPv6ヘッダとして、IPv6アドレスAD1に認証用データ生成部520にて生成された認証用データを埋め込んだものが、データパケット10aに付加される。上述のように、送信者の正当性を確認するために、CPE2aの認証用データ埋め込み部22ではアウターIPv6ヘッダの「送信元アドレス」におけるインターフェースID部の下位16ビットに認証用データが埋め込まれる。これに対し、受信者の正当性を確認するために、認証用データ埋め込み部52では、図3(d)に示されるように、アウターIPv6ヘッダの「宛先アドレス」におけるインターフェースID部の下位16ビットに、認証用データが埋め込まれ、データパケット10cとされる。尚、認証用データ埋め込み部52においても、カプセル化を行なってから認証用データを生成して、認証用データの埋め込みを行なう構成としても良いし、認証用データの生成とカプセル化を並行して行なう構成としても良い。   Subsequently, the data packet 10 a is sent to the encapsulation unit 525 together with the authentication data generated by the authentication data generation unit 520. In the encapsulating unit 525, as in the case of the encapsulating unit 225 of the CPE 2a, as the outer IPv6 header, the IPv6 address AD1 embedded with the authentication data generated by the authentication data generating unit 520 is added to the data packet 10a. Is done. As described above, in order to confirm the validity of the sender, the authentication data embedding unit 22 of the CPE 2a embeds authentication data in the lower 16 bits of the interface ID portion in the “source address” of the outer IPv6 header. On the other hand, in order to confirm the validity of the receiver, the authentication data embedding unit 52, as shown in FIG. 3D, the lower 16 bits of the interface ID portion in the “destination address” of the outer IPv6 header. The authentication data is embedded into the data packet 10c. The authentication data embedding unit 52 may also be configured to generate authentication data after encapsulating and embed the authentication data, or to generate and encapsulate authentication data in parallel. It is good also as a structure to perform.

こうして、認証用データ埋め込み部52にて認証用データが埋め込まれたデータパケット10cは、パケット送信部53に送られる。そして、パケット送信部53から第1のネットワーク100を介してCPE2aへ転送される。ここで、通常、IPv6においては、第1のネットワーク100におけるCPE2aの上流側ルータが、アウターIPv6ヘッダの宛先アドレスから、同一セグメント上に存在するノードのアドレスを特定するために、ネイバーディスカバリを行なう。通常であれば、データパケット10cのアウターIPv6ヘッダにおける宛先アドレスを保有するノードの問い合わせが行なわれるが、本実施形態においては、該宛先アドレスのインターフェースID部には、認証用データが埋め込まれている。そのため、該認証用データが埋め込まれた宛先アドレスを持つようなノードは存在せず、ネイバーディスカバリに失敗して、データパケットが正常に転送されなくなる可能性がある。そのため、本実施形態においては、CPE2aにおいてネイバーディスカバリを受信した際には、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースIDのチェックは行なわずに、プレフィックスが一致すれば、該当するネイバーディスカバリに応答するよう構成される。これにより、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースID部に認証用データが埋め込まれたことで、CPE2aが有するIPv6アドレスAD1と異なっていても、ネイバーディスカバリに対して正常に応答することができ、データパケットが正しく転送される。   Thus, the data packet 10 c in which the authentication data is embedded in the authentication data embedding unit 52 is sent to the packet transmission unit 53. Then, the packet is transmitted from the packet transmission unit 53 to the CPE 2 a via the first network 100. Here, normally, in IPv6, the upstream router of the CPE 2a in the first network 100 performs neighbor discovery in order to identify the address of a node existing on the same segment from the destination address of the outer IPv6 header. Normally, an inquiry about the node having the destination address in the outer IPv6 header of the data packet 10c is made. In this embodiment, authentication data is embedded in the interface ID portion of the destination address. . For this reason, there is no node having a destination address in which the authentication data is embedded, and there is a possibility that the neighbor discovery fails and the data packet is not normally transferred. Therefore, in the present embodiment, when neighbor discovery is received in the CPE 2a, the interface ID in the destination address of the outer IPv6 header is not checked, and if the prefix matches, the corresponding neighbor discovery is responded. Is done. As a result, since the authentication data is embedded in the interface ID portion in the destination address of the outer IPv6 header, even if it is different from the IPv6 address AD1 of the CPE 2a, it is possible to respond normally to neighbor discovery, Packets are forwarded correctly.

CPE2aに転送されたデータパケット10cは、パケット受信部21にて受信される。そして、パケット受信部21にて受信されたデータパケット10cは、パケット認証部24へ送られる。パケット認証部24では、まず、認証用データ抽出部240にて、受信したデータパケット10cのアウターIPv6ヘッダから、認証用データが抽出される。詳しくは、アウターIPv6ヘッダの宛先アドレスにおけるインターフェースIDの下位16ビットが、認証用データとして抽出される。   The data packet 10c transferred to the CPE 2a is received by the packet receiver 21. Then, the data packet 10 c received by the packet receiving unit 21 is sent to the packet authentication unit 24. In the packet authentication unit 24, first, the authentication data extraction unit 240 extracts authentication data from the outer IPv6 header of the received data packet 10c. Specifically, the lower 16 bits of the interface ID in the destination address of the outer IPv6 header are extracted as authentication data.

続いて、データパケット10cからIPv6アウターヘッダが取り外され、データパケット10cのカプセル化が解除される。カプセル化が解除されたデータパケットは、図3(a)に示すデータパケット10aとなる。そして、データパケット10aは、抽出された認証用データと共に正当性判断部245へ送られる。正当性判断部245では、まず、データパケット10aからチェックサム値が計算される。ここでは、リレールータ5の認証用データ生成部520と同様に、データパケット10aを16ビット単位で加算し、総計の下位16ビットの1の補数をチェックサム値として求める。ここで、パケット認証部24においても、チェックサム値の計算後に認証用データの抽出が行なわれても良く、さらにチェックサム値の計算と認証用データの抽出とが並行して行なわれても良い。   Subsequently, the IPv6 outer header is removed from the data packet 10c, and the encapsulation of the data packet 10c is released. The decapsulated data packet is a data packet 10a shown in FIG. Then, the data packet 10a is sent to the validity judgment unit 245 together with the extracted authentication data. The validity judgment unit 245 first calculates a checksum value from the data packet 10a. Here, similarly to the authentication data generation unit 520 of the relay router 5, the data packets 10a are added in units of 16 bits, and the 1's complement of the lower 16 bits of the total is obtained as a checksum value. Here, also in the packet authentication unit 24, the authentication data may be extracted after the checksum value is calculated, and the checksum value calculation and the authentication data extraction may be performed in parallel. .

そして、正当性判断部245において、求めたチェックサム値と、抽出した認証用データが一致するか否かが判断され、求めたチェックサム値と、抽出した認証用データが一致する場合には、当該データパケット10aをパケット送信部23へと送る。一方、求めたチェックサム値と、抽出した認証用データが一致しない場合は、データパケット10aをパケット送信部23へ送ることなく破棄する。そして、パケット送信部23は、受信したデータパケット10aを端末1aへ送信する。   Then, the validity determination unit 245 determines whether or not the obtained checksum value matches the extracted authentication data. When the obtained checksum value matches the extracted authentication data, The data packet 10 a is sent to the packet transmitter 23. On the other hand, if the obtained checksum value does not match the extracted authentication data, the data packet 10 a is discarded without being sent to the packet transmitter 23. Then, the packet transmitting unit 23 transmits the received data packet 10a to the terminal 1a.

このように、正当な受信者であるサービス加入者ルータ(CPE2a)は、サービス提供者側のリレールータ5と共通するアルゴリズムにより、宛先アドレスのインターフェースID部における認証用データに基づいて、データパケットの受信および転送を行なう。これに対し、非加入者であるCPE2b(図1)は、パケット認証部24を備えていない。そのため、リレールータ5からのデータパケットを受信した場合、アウターIPv6ヘッダに認証用データが埋め込まれていることにより、宛先が自局宛てのものでないと判断し、当該パケットを破棄する。このように、正当な加入者でない受信者は、リレールータ5(サービス提供者)からデータパケットを受信することができないようになっており、これにより受信者の正当性の確認が行なわれる。   As described above, the service subscriber router (CPE 2a), which is a legitimate recipient, uses the same algorithm as the relay router 5 on the service provider side, based on the authentication data in the interface ID portion of the destination address, Receive and transfer. On the other hand, the non-subscriber CPE 2b (FIG. 1) does not include the packet authentication unit 24. Therefore, when a data packet is received from the relay router 5, it is determined that the destination is not addressed to the own station because the authentication data is embedded in the outer IPv6 header, and the packet is discarded. In this way, a receiver who is not a valid subscriber cannot receive a data packet from the relay router 5 (service provider), thereby confirming the validity of the receiver.

また、CPE2aからリレールータ5へデータパケットを送信する際に、CPE2aの認証用データ埋め込み部22にて、アウターIPv6ヘッダの宛先アドレスに認証用データを埋め込むよう構成しても良い。このように構成することで、非加入者ルータであるCPE2bが、サービス提供ルータ(リレールータ5)になりすまし、CPE2aからのデータパケットを不正に受信しようとした場合も、アウターIPv6ヘッダに認証用データが埋め込まれていることにより、CPE2bにて当該データパケットは自局宛てのものではないと判断され、当該パケットが破棄されるので、不正な受信を防ぐことができる。さらに、リレールータ5からCPE2aへデータパケットを送信する際に、リレールータ5の認証用データ埋め込み部52にて、アウターIPv6ヘッダの送信元アドレスに認証用データを埋め込むよう構成しても良く、さらにCPE2aおよびリレールータ5において、アウターIPv6ヘッダの送信元アドレスおよび宛先アドレスの両方に認証用データを埋め込むよう構成しても良い。   Further, when a data packet is transmitted from the CPE 2a to the relay router 5, the authentication data embedding unit 22 of the CPE 2a may embed authentication data in the destination address of the outer IPv6 header. With this configuration, even when the CPE 2b, which is a non-subscriber router, impersonates a service providing router (relay router 5) and attempts to receive a data packet from the CPE 2a illegally, authentication data is displayed in the outer IPv6 header. Is embedded, the CPE 2b determines that the data packet is not destined for the own station, and the packet is discarded, so that unauthorized reception can be prevented. Further, when a data packet is transmitted from the relay router 5 to the CPE 2a, the authentication data embedding unit 52 of the relay router 5 may be configured to embed authentication data in the source address of the outer IPv6 header. The CPE 2a and the relay router 5 may be configured to embed authentication data in both the source address and the destination address of the outer IPv6 header.

このように、本実施形態においては、トンネルのステータスを個別に管理する必要のないステートレストンネルにおいて、送受信されるデータパケットにサービス加入者およびサービス提供者のみが認識できる認証用データ埋め込むことにより、サービス提供者側のリレールータ5と、サービス加入側のCPE2aとの間のセキュリティを確保することが可能となる。また、データパケットのアウターヘッダにおけるインターフェースID部に認証用データを埋め込んで認証を行なうことにより、オーバーヘッドを抑え、パケット転送能力に影響を与えることなく、パケット単位のセキュリティチェックを行うことができる。   As described above, in the present embodiment, in a stateless tunnel that does not need to individually manage the status of the tunnel, by embedding authentication data that can be recognized only by a service subscriber and a service provider in a transmitted / received data packet, It is possible to ensure security between the relay router 5 on the provider side and the CPE 2a on the service subscription side. Further, by performing authentication by embedding authentication data in the interface ID portion in the outer header of the data packet, it is possible to perform a security check for each packet without suppressing overhead and affecting the packet transfer capability.

さらに、従来のようにチェックサム値を用いてデータパケットに含まれるデータの正当性のみが確認される場合には、データ自体が正当なものであれば、不正な受信者または送信者からのデータパケットであっても正当なものとして送受信されてしまう。これに対し、本実施形態においては、送受信されるデータパケットの送信元アドレスまたは宛先アドレス、もしくは両方に認証用データ埋め込むことにより、受信者および送信者の正当性を確認し、不正な受信者および送信者からのデータパケットの送受信を防ぐことができる。   Furthermore, if only the validity of the data included in the data packet is confirmed using the checksum value as in the past, if the data itself is valid, the data from an unauthorized receiver or sender Even packets are sent and received as valid. On the other hand, in the present embodiment, the authenticity of the receiver and the sender is confirmed by embedding the authentication data in the source address or the destination address of the data packet to be transmitted / received, or both. Transmission / reception of data packets from the sender can be prevented.

また、一般的にリレールータ5から第2のネットワーク200へデータパケットを送信する際には、インターネットエクスチェンジと呼ばれる有料のインターネットの相互接続サービスが利用される。このインターネットエクスチェンジサービスでは、トラフィック(通信量)に応じた従量課金制が採用されているものある。このような場合、本実施形態のような認証システムを備えることで、正当な加入者から送信されるデータパケットのみをリレールータ5から第2のネットワーク200へ送信することができ、不正な利用者のデータパケットの送信により発生するコストを削減することが可能となり、結果としてユーザが負担するパケット通信料を削減することができる。   In general, when a data packet is transmitted from the relay router 5 to the second network 200, a paid Internet interconnection service called Internet exchange is used. This Internet exchange service employs a pay-per-use system according to traffic (communication volume). In such a case, by providing the authentication system as in the present embodiment, only data packets transmitted from legitimate subscribers can be transmitted from the relay router 5 to the second network 200, and unauthorized users can be transmitted. It is possible to reduce the cost caused by the transmission of the data packet, and as a result, it is possible to reduce the packet communication fee borne by the user.

以上が本発明の実施形態であるが、本発明はこれらの実施形態に限定されるものではなく様々な範囲で変形が可能である。例えば、上記実施形態は、CPE2aとリレールータ5との間でIPv6 over IPv6トンネリングを用いた場合について説明したが、本発明は、様々なトンネリング技術が用いられるリレールータ5とCPE2aとの間の認証に適用可能である。例えば、図1において、端末1aのある加入者宅内とアクセス先のサーバ6などがある第2のネットワーク200はIPv6に対応しているが、第1のネットワーク100はIPv4(Internet Protocol Version 4)に対応している場合には、IPv4ネットワークを経由してIPv6の通信を行う「IPv6 over IPv4」と呼ばれるトンネリング技術が用いられる。   Although the embodiments of the present invention have been described above, the present invention is not limited to these embodiments and can be modified in various ranges. For example, in the above-described embodiment, the case where IPv6 over IPv6 tunneling is used between the CPE 2a and the relay router 5 has been described. However, in the present invention, authentication between the relay router 5 and the CPE 2a using various tunneling technologies is described. It is applicable to. For example, in FIG. 1, the second network 200 including the subscriber premises where the terminal 1a is located and the access destination server 6 is compatible with IPv6, but the first network 100 is compatible with IPv4 (Internet Protocol Version 4). If it is compatible, a tunneling technique called “IPv6 over IPv4” for performing IPv6 communication via the IPv4 network is used.

このIPv6 over IPv4では、端末1aにおいて生成されるIPv6データパケットが、CPE2aにおいてIPv4パケットのヘッダによってカプセル化される。このようにIPv6データパケットをIPv4ヘッダでカプセル化することにより、IPv4ネットワークである第1のネットワーク100ではルーティングできないIPv6パケットをIPv4パケットとして取り扱うことが可能となる。また、このIPv6 over IPv4トンネリング技術の一つとして、6rd(IPv6 rapid deployment)と呼ばれる技術が開発されている。   In this IPv6 over IPv4, the IPv6 data packet generated in the terminal 1a is encapsulated by the header of the IPv4 packet in the CPE 2a. By encapsulating the IPv6 data packet with the IPv4 header in this way, it becomes possible to handle an IPv6 packet that cannot be routed by the first network 100 that is an IPv4 network as an IPv4 packet. As one of the IPv6 over IPv4 tunneling techniques, a technique called 6rd (IPv6 rapid deployment) has been developed.

6rdでは、まず、サービス提供者から、リレールータ5に、IPv6アドレスのプレフィックスを割り当てておく。そして、CPE2aには、第1のネットワーク100上のDHCPから、IPv4アドレスが自動的に割り当てられる。この時、リレールータ5のIPv6プレフィックスについても、一緒にCPE2aに通知される。そして、CPE2aでは、通知されたIPv6プレフィックスとIPv4アドレスを組み合わせることで、IPv6アドレスを構成し、端末1aのIPv6アドレスは、CPE2aにて生成されたIPv6アドレスに基づいて割り当てられる。そして、端末1aから第2のネットワーク200へデータパケットが送信される際には、端末1aで生成されるIPv6データパケットに、CPE2aにてアウターIPv4ヘッダが付加され、リレールータ5へと転送される。また、CPE2aとリレールータ5の間は、リレールータ5に割り当てられたIPv6プレフィックスに基づくアウターIPv4ヘッダによってルーティングが行なわれる。このように、6rdにおけるトンネルも、CPE2aとリレールータ5との間においてユーザIDやパスワードの認証は行なわず、また各トンネルでの個別のステータス管理も行なわれない、ステートレストンネルである。   In 6rd, first, the IPv6 address prefix is assigned to the relay router 5 from the service provider. Then, an IPv4 address is automatically assigned to the CPE 2a from DHCP on the first network 100. At this time, the IPv6 prefix of the relay router 5 is also notified to the CPE 2a. The CPE 2a composes an IPv6 address by combining the notified IPv6 prefix and the IPv4 address, and the IPv6 address of the terminal 1a is assigned based on the IPv6 address generated by the CPE 2a. When a data packet is transmitted from the terminal 1a to the second network 200, an outer IPv4 header is added to the IPv6 data packet generated by the terminal 1a by the CPE 2a and transferred to the relay router 5. . Further, routing is performed between the CPE 2a and the relay router 5 by an outer IPv4 header based on the IPv6 prefix assigned to the relay router 5. As described above, the tunnel in 6rd is also a stateless tunnel in which the user ID and password are not authenticated between the CPE 2a and the relay router 5, and individual status management is not performed in each tunnel.

このような6rdを含むIPv6 over IPv4トンネリングに本発明の認証システムを適用する場合には、CPE2aまたはリレールータ5の認証用データ埋め込み部22または52において、アウターIPv4ヘッダの送信元アドレスおよび/または宛先アドレスのホスト部(IPv6の「インターフェースID部」に相当)に認証用データを埋め込めば良い。ただし、IPv4ヘッダの送信元アドレスおよび宛先アドレスのホスト部は32ビットしかないため、認証用データのビット数は32ビット以下で適宜設定される。そして、CPE2aまたはリレールータ5のパケット認証部24または54において、アウターIPv4ヘッダのホスト部に埋め込まれた認証用データに基づいて、送信者/受信者の正当性が判断される。   When the authentication system of the present invention is applied to such IPv6 over IPv4 tunneling including 6rd, in the authentication data embedding unit 22 or 52 of the CPE 2a or the relay router 5, the source address and / or the destination of the outer IPv4 header The authentication data may be embedded in the host part of the address (corresponding to the “interface ID part” of IPv6). However, since the host part of the source address and destination address of the IPv4 header has only 32 bits, the number of bits of the authentication data is appropriately set to 32 bits or less. Then, the packet authentication unit 24 or 54 of the CPE 2a or the relay router 5 determines the validity of the sender / receiver based on the authentication data embedded in the host part of the outer IPv4 header.

さらに、IPv4 over IPv6や、IPv4 over IPv4など、その他のステートレストンネにおいても、本発明を適用することが可能である。これらの場合も、それぞれ、アウターIPv6ヘッダ(IPv4 over IPv6の場合)またはアウターIPv4ヘッダ(IPv4 over IPv4の場合)の送信元アドレスおよび/または宛先アドレスのインターフェースID部またはホスト部に認証用データが埋め込まれ、当該認証用データに基づいて、送信者/受信者の正当性が確認される。   Furthermore, the present invention can be applied to other stateless tunnels such as IPv4 over IPv6 and IPv4 over IPv4. Also in these cases, authentication data is embedded in the interface ID part or the host part of the source address and / or the destination address of the outer IPv6 header (in the case of IPv4 over IPv6) or the outer IPv4 header (in the case of IPv4 over IPv4), respectively. Then, the legitimacy of the sender / receiver is confirmed based on the authentication data.

また、上記実施形態においては、認証用データとして、データパケットのチェックサム値を用いる構成としたが、本発明はこれに限定されるものではなく、データパケットを元に抽出できる様々な値を認証用データとして用いることが可能である。例えば、CPE2aとリレールータ5にて共通するハッシュ関数を用いて、データパケットよりハッシュ値を求め、該ハッシュ値を認証用データとして用いても良い。さらに、データパケットに基づいて算出されたシグネチャや、その他の暗号化技術によって求められた暗号化データを認証用データとして用いることも可能である。   In the above embodiment, the checksum value of the data packet is used as the authentication data. However, the present invention is not limited to this, and various values that can be extracted based on the data packet are authenticated. It can be used as business data. For example, a hash value may be obtained from a data packet using a hash function common to the CPE 2a and the relay router 5, and the hash value may be used as authentication data. Furthermore, signatures calculated based on data packets and encrypted data obtained by other encryption techniques can also be used as authentication data.

さらに、第1のネットワーク100に認証サーバを備え、該認証サーバからCPE2aおよびリレールータ5に対して、認証用データとして用いるためのハッシュキーなどの認証キーを提供するよう構成することや、サービス提供者からサービス加入者にルータを提供する際に、予め当該ルータに所定の認証キーを記憶させておくことも可能である。この場合は、認証用データ埋め込み部22および52の認証用データ生成部220および520にて、認証サーバから提供される、または予め記憶される認証キーを読み出すだけで良く、認証用データを生成する必要はない。また、パケット認証部24および54における正当性判断部245および545においても、認証用データの算出は不要であり、認証キーを読み出して、抽出した認証データと比較すれば良い。   Further, the first network 100 includes an authentication server, and the authentication server provides an authentication key such as a hash key to be used as authentication data to the CPE 2a and the relay router 5, and provides a service. When providing a router to a service subscriber from a subscriber, it is also possible to store a predetermined authentication key in the router in advance. In this case, the authentication data generation units 220 and 520 of the authentication data embedding units 22 and 52 need only read the authentication key provided from the authentication server or stored in advance, and generate the authentication data. There is no need. Also, the validity determination units 245 and 545 in the packet authentication units 24 and 54 do not need to calculate authentication data, and the authentication key may be read and compared with the extracted authentication data.

また、上記実施形態においては、全てのパケットに対して、認証用データの埋め込みおよび判定を行なう構成としたが、これに限定されるものではなく、一度認証を行なった結果や、正当性が確認されたデータパケットの送信元情報を保持しておき、その後は認証処理を行なわずにデータパケットを転送することも可能である。また、上記実施形態においては、トンネリング技術においてカプセル化されるデータパケットのアウターヘッダへ認証用データを埋め込む構成としたが、本発明はこれに限定されるものではない。例えば、トンネリング技術が採用されない(カプセル化されない)データパケットの宛先アドレス/送信元アドレス、またはカプセル化されるデータパケットのインナーヘッダにおける宛先アドレス/送信元アドレスに認証用データを埋め込む構成としても、上記実施形態と同様に、パケット単位の送信者/受信者の正当性を確認することができる。また、リレールータ5またはCPE2aにおいて、正当性判断部で正当な送信元からのデータパケットではないと判断され、破棄されたデータパケットのログを保存しておくことも有効である。このようにログを保存しておくことにより、該ログに基づいて不正な利用者を特定することが可能となる。   In the above embodiment, the authentication data is embedded and determined for all packets. However, the present invention is not limited to this, and the result of authentication once and the validity are confirmed. It is also possible to store the transmission source information of the data packet that has been sent, and then transfer the data packet without performing authentication processing. In the above embodiment, the authentication data is embedded in the outer header of the data packet encapsulated in the tunneling technique. However, the present invention is not limited to this. For example, even if the authentication data is embedded in the destination address / source address of the data packet not employing the tunneling technique (not encapsulated) or the destination address / source address in the inner header of the encapsulated data packet, Similar to the embodiment, the validity of the sender / receiver in packet units can be confirmed. In the relay router 5 or the CPE 2a, it is also effective to store a log of data packets that are judged to be not data packets from a valid transmission source by the validity judgment unit. By storing the log in this way, it becomes possible to identify an unauthorized user based on the log.

さらに、上記実施形態においては、サービス加入者ルータのCPE2aにて、送信パケットへの認証用データの埋め込み、および受信パケットの認証を行なう構成としたが、端末1aにて認証用データの埋め込み、および受信パケットの認証を行なう構成としてもよく、またCPE2aは、中継機能を備える携帯端末であっても良い。   Further, in the above embodiment, the CPE 2a of the service subscriber router is configured to embed authentication data in the transmission packet and authenticate the reception packet. However, the terminal 1a embeds authentication data, and The configuration may be such that the received packet is authenticated, and the CPE 2a may be a portable terminal having a relay function.

1a、1b 端末
2a、2b CPE
5 リレールータ
6 サーバ
21、51 パケット受信部
22、52 認証用データ埋め込み部
220、520 認証用データ生成部
225、525 カプセル化部
23、53 パケット送信部
24、54 パケット認証部
240、540 認証用データ抽出部
245、545 正当性判断部
100 第1のネットワーク
200 第2のネットワーク 1a, 1b terminal 2a, 2b CPE
5 Relay router 6 Server 21, 51 Packet receiving unit 22, 52 Authentication data embedding unit 220, 520 Authentication data generation unit 225, 525 Encapsulation unit 23, 53 Packet transmission unit 24, 54 Packet authentication unit 240, 540 For authentication Data extraction unit 245, 545 Validity determination unit 100 First network 200 Second network

Claims (21)

第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなる認証システムであって、
前記第1の装置は、
データパケットに認証用データを埋め込む認証用データ埋め込み部と、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信部と、を備え、
前記第2の装置は、
前記第1の装置から前記データパケットを受信するパケット受信部と、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、
前記抽出した認証用データに基づいて、前記データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする認証システム。 An authentication system comprising a first device and a second device connected to the first device via a first network,
The first device includes:
An authentication data embedding unit for embedding authentication data in the data packet;
A packet transmission unit that transmits the data packet in which the authentication data is embedded to the second device,
The second device includes:
A packet receiver that receives the data packet from the first device;
An authentication data extraction unit for extracting authentication data from the received data packet;
An authentication system comprising: a validity determination unit that determines the validity of the sender or receiver of the data packet based on the extracted authentication data. 前記正当性判断部は、前記データパケットに基づいて認証用データを算出し、前記認証用データ抽出部において抽出した認証用データと、前記算出した認証用データとを比較して、該データパケットの送信者または受信者の正当性を判断することを特徴とする、請求項1に記載の認証システム。   The validity judgment unit calculates authentication data based on the data packet, compares the authentication data extracted by the authentication data extraction unit with the calculated authentication data, The authentication system according to claim 1, wherein validity of the sender or the receiver is determined. 前記正当性判断部は、前記抽出した認証用データと、前記算出した認証用データとが一致しない場合には、該データパケットの送信者または受信者は正当でないと判断して、該データパケットを破棄することを特徴とする、請求項2に記載の認証システム。   When the extracted authentication data and the calculated authentication data do not match, the validity determination unit determines that the sender or receiver of the data packet is not valid, and determines the data packet The authentication system according to claim 2, wherein the authentication system is discarded. 前記データパケットは、アウターヘッダによってカプセル化されたものであり、前記認証用データ埋め込み部は、前記認証用データを該アウターヘッダに埋め込むことを特徴とする、請求項1から3のいずれか一項に記載の認証システム。   4. The data packet according to claim 1, wherein the data packet is encapsulated by an outer header, and the authentication data embedding unit embeds the authentication data in the outer header. 5. The authentication system described in. 前記アウターヘッダは、IPv6アドレスであり、
前記認証用データ埋め込み部は、前記IPv6アドレスのインターフェースID部に、前記認証用データを埋め込むことを特徴とする、請求項4に記載の認証システム。 The outer header is an IPv6 address,
The authentication system according to claim 4, wherein the authentication data embedding unit embeds the authentication data in an interface ID portion of the IPv6 address. 前記アウターヘッダは、IPv4アドレスであり、
前記認証用データ埋め込み部は、前記IPv4アドレスのホスト部に、前記認証用データを埋め込むことを特徴とする、請求項4に記載の認証システム。 The outer header is an IPv4 address,
The authentication system according to claim 4, wherein the authentication data embedding unit embeds the authentication data in a host unit of the IPv4 address. 前記認証用データ埋め込み部は、前記データパケットの送信元アドレスに前記認証用データを埋め込み、
前記正当性判断部は、前記データパケットの送信元アドレスに埋め込まれた認証用データに基づいて、前記データパケットの送信者の正当性を判断することを特徴とする、請求項1から6のいずれか一項に記載の認証システム。 The authentication data embedding unit embeds the authentication data in a transmission source address of the data packet,
The said validity judgment part judges the sender's legitimacy of the said data packet based on the data for authentication embedded in the transmission source address of the said data packet, Any one of Claim 1 to 6 characterized by the above-mentioned. The authentication system according to claim 1. 前記認証用データ埋め込み部は、前記データパケットの宛先アドレスに前記認証用データを埋め込み、
前記正当性判断は、前記データパケットの宛先アドレスに埋め込まれた認証用データに基づいて、前記データパケットの受信者の正当性を判断することを特徴とする、請求項1から7のいずれか一項に記載の認証システム。 The authentication data embedding unit embeds the authentication data in a destination address of the data packet,
8. The validity determination according to claim 1, wherein the validity is determined based on authentication data embedded in a destination address of the data packet. The authentication system described in the section. 前記第2の装置は、前記第1のネットワークと第2のネットワークを接続するものであり、前記データパケットを、前記第2のネットワークへ転送するパケット転送部をさらに備え、
前記正当性判断部は、前記抽出した認証用データと、前記算出した認証用データとが一致する場合には、前記データパケットの送信者または受信者は正当であると判断して、該データパケットを前記パケット転送部へ送信することを特徴とする、請求項2から8のいずれか一項に記載の認証システム。 The second device connects the first network and the second network, and further includes a packet transfer unit that transfers the data packet to the second network,
The validity judgment unit judges that the sender or receiver of the data packet is valid when the extracted authentication data matches the calculated authentication data, and the data packet The authentication system according to any one of claims 2 to 8, wherein the authentication system is transmitted to the packet transfer unit. 前記第1のネットワークはIPv6対応の地域IPネットワークであり、前記第2のネットワークはIPv6対応のパブリックネットワークであること、または、前記第1のネットワークはIPv4ネットワークであり、前記第2のネットワークはIPv6ネットワークであることを特徴とする、請求項9に記載の認証システム。   The first network is a regional IP network compatible with IPv6, and the second network is a public network compatible with IPv6, or the first network is an IPv4 network, and the second network is IPv6. The authentication system according to claim 9, wherein the authentication system is a network. 前記認証用データは、前記データパケットから求められる、チェックサム値またはハッシュ値であることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。   The authentication system according to any one of claims 1 to 10, wherein the authentication data is a checksum value or a hash value obtained from the data packet. 前記認証用データは、認証サーバから提供されることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。   The authentication system according to any one of claims 1 to 10, wherein the authentication data is provided from an authentication server. 前記認証用データは、予め前記第1の装置および第2の装置に記憶されていることを特徴とする、請求項1から10のいずれか一項に記載の認証システム。   The authentication system according to claim 1, wherein the authentication data is stored in advance in the first device and the second device. 前記第1の装置はサービス加入者ルータであり、前記第2の装置はサービス提供ルータであること、または、前記第1の装置はサービス提供ルータであり、前記第2の装置はサービス加入者ルータであることを特徴とする、請求項1から13のいずれか一項に記載の認証システム。   The first device is a service subscriber router and the second device is a service providing router, or the first device is a service providing router and the second device is a service subscriber router. The authentication system according to any one of claims 1 to 13, wherein the authentication system is any one of the following. 前記第1の装置または第2の装置は、携帯端末装置であることを特徴とする、請求項1から13のいずれか一項に記載の認証システム。   The authentication system according to any one of claims 1 to 13, wherein the first device or the second device is a mobile terminal device. ネットワークを介して第2の装置と接続される第1の装置であって、
データパケットに、認証用データを埋め込む認証用データ埋め込み部と、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信部と、を備えることを特徴とする装置。 A first device connected to a second device via a network,
An authentication data embedding unit for embedding authentication data in the data packet;
A packet transmission unit configured to transmit the data packet in which the authentication data is embedded to the second device; ネットワークを介して第1の装置と接続される第2の装置であって、
前記第1の装置からデータパケットを受信するパケット受信部と、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出部と、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断部と、を備えることを特徴とする装置。 A second device connected to the first device via a network,
A packet receiver for receiving data packets from the first device;
An authentication data extraction unit for extracting authentication data from the received data packet;
An apparatus comprising: a legitimacy judging unit that judges legitimacy of a sender or a receiver of the data packet based on the extracted authentication data. 第1の装置と、該第1の装置と第1のネットワークを介して接続される第2の装置とからなるネットワークシステムにおける認証方法であって、
前記第1の装置における、
データパケットに認証用データを埋め込む認証用データ埋め込みステップと、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信ステップと、
前記第2の装置における、
前記第1の装置から前記データパケットを受信するパケット受信ステップと、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法。 An authentication method in a network system comprising a first device and a second device connected to the first device via a first network,
In the first device,
An authentication data embedding step for embedding the authentication data in the data packet;
A packet transmission step of transmitting the data packet in which the authentication data is embedded to the second device;
In the second device,
A packet receiving step for receiving the data packet from the first device;
An authentication data extraction step for extracting authentication data from the received data packet;
And a legitimacy judging step of judging legitimacy of a sender or a receiver of the data packet based on the extracted authentication data. ネットワークを介して第2の装置と接続される第1の装置における認証方法であって、
データパケットに、認証用データを埋め込む認証用データ埋め込みステップと、
前記認証用データが埋め込まれたデータパケットを前記第2の装置へ送信するパケット送信ステップと、を含むことを特徴とする認証方法。 An authentication method in a first device connected to a second device via a network,
An authentication data embedding step for embedding authentication data in the data packet;
A packet transmission step of transmitting the data packet in which the authentication data is embedded to the second device. ネットワークを介して第1の装置と接続される第2の装置における認証方法であって、
前記第1の装置からデータパケットを受信するパケット受信ステップと、
前記受信したデータパケットから、認証用データを抽出する認証用データ抽出ステップと、
前記抽出した認証用データに基づいて、該データパケットの送信者または受信者の正当性を判断する正当性判断ステップと、を含むことを特徴とする認証方法。 An authentication method in a second device connected to the first device via a network,
Receiving a data packet from the first device; and
An authentication data extraction step for extracting authentication data from the received data packet;
And a legitimacy judging step of judging legitimacy of a sender or a receiver of the data packet based on the extracted authentication data. 請求項19または20に記載される認証方法をコンピュータに実行させるためのプログラム。   A program for causing a computer to execute the authentication method according to claim 19 or 20.
JP2010171596A 2010-07-30 2010-07-30 Packet authentication system, authentication method, and program Pending JP2012034169A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010171596A JP2012034169A (en) 2010-07-30 2010-07-30 Packet authentication system, authentication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010171596A JP2012034169A (en) 2010-07-30 2010-07-30 Packet authentication system, authentication method, and program

Publications (2)

Publication Number Publication Date
JP2012034169A true JP2012034169A (en) 2012-02-16
JP2012034169A5 JP2012034169A5 (en) 2013-09-12

Family

ID=45847053

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010171596A Pending JP2012034169A (en) 2010-07-30 2010-07-30 Packet authentication system, authentication method, and program

Country Status (1)

Country Link
JP (1) JP2012034169A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019092026A (en) * 2017-11-14 2019-06-13 株式会社デンソー Network system
KR20190125473A (en) * 2017-03-14 2019-11-06 프라운호퍼 게젤샤프트 쭈르 푀르데룽 데어 안겐반텐 포르슝 에. 베. Authenticated Confirmation and Activation Messages

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002541734A (en) * 1999-03-31 2002-12-03 テレフオンアクチーボラゲツト エル エム エリクソン(パブル) IP address assignment for mobile terminals
US20050249210A1 (en) * 2001-01-31 2005-11-10 Ipr Licensing, Inc. Achieving PPP mobility via the mobile IP infrastructure
JP2006086618A (en) * 2004-09-14 2006-03-30 Furukawa Electric Co Ltd:The Communication control method, communication control unit, control program, and recording medium
JP2007135035A (en) * 2005-11-11 2007-05-31 Nippon Telegr & Teleph Corp <Ntt> Communication device and packet processing method
JP2010028572A (en) * 2008-07-22 2010-02-04 Mega Chips Corp Communication apparatus and electronic device
JP2010103709A (en) * 2008-10-22 2010-05-06 Oki Networks Co Ltd Device, method and program for transferring packet, and communication device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002541734A (en) * 1999-03-31 2002-12-03 テレフオンアクチーボラゲツト エル エム エリクソン(パブル) IP address assignment for mobile terminals
US20050249210A1 (en) * 2001-01-31 2005-11-10 Ipr Licensing, Inc. Achieving PPP mobility via the mobile IP infrastructure
JP2006086618A (en) * 2004-09-14 2006-03-30 Furukawa Electric Co Ltd:The Communication control method, communication control unit, control program, and recording medium
JP2007135035A (en) * 2005-11-11 2007-05-31 Nippon Telegr & Teleph Corp <Ntt> Communication device and packet processing method
JP2010028572A (en) * 2008-07-22 2010-02-04 Mega Chips Corp Communication apparatus and electronic device
JP2010103709A (en) * 2008-10-22 2010-05-06 Oki Networks Co Ltd Device, method and program for transferring packet, and communication device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
安井 浩之,松山 実: ""IPパケット認証ゲートウェイシステムAIPS"", 情報処理学会論文誌 論文誌ジャーナル [CD−ROM], vol. 49, no. 7, JPN6014029871, 15 July 2008 (2008-07-15), JP, pages 2614 - 2622, ISSN: 0002855987 *
高橋 健太郎: ""ゼロから理解を深めよう レッツ・チャレンジ!IPv6 Part2"", 日経NETWORK, vol. 第75号, JPN6014029872, 22 June 2006 (2006-06-22), JP, pages 056 - 064, ISSN: 0002855988 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190125473A (en) * 2017-03-14 2019-11-06 프라운호퍼 게젤샤프트 쭈르 푀르데룽 데어 안겐반텐 포르슝 에. 베. Authenticated Confirmation and Activation Messages
KR102397852B1 (en) * 2017-03-14 2022-05-13 프라운호퍼 게젤샤프트 쭈르 푀르데룽 데어 안겐반텐 포르슝 에. 베. Authenticated confirmation and activation messages
US11336426B2 (en) 2017-03-14 2022-05-17 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Authenticated confirmation and activation message
JP2019092026A (en) * 2017-11-14 2019-06-13 株式会社デンソー Network system

Similar Documents

Publication Publication Date Title
US8191119B2 (en) Method for protecting against denial of service attacks
EP1779589B1 (en) Arrangement for tracking ip address usage based on authenticated link identifier
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
US6308213B1 (en) Virtual dial-up protocol for network communication
KR100651715B1 (en) Method for generating and accepting address automatically in IPv6-based Internet and data structure thereof
US7480794B2 (en) System and methods for transparent encryption
US9088416B2 (en) Method for securely associating data with HTTP and HTTPS sessions
EP2309686B1 (en) Data packet processing method and apparatus thereof
US20060111080A1 (en) System and method for securing a personalized indicium assigned to a mobile communications device
WO2005015827A1 (en) Communication system, communication device, communication method, and communication program for realizing the same
EP1775910A1 (en) Application layer ingress filtering
JP5192077B2 (en) Secret communication method using VPN, system thereof, program thereof, and recording medium of program
CN113904809B (en) Communication method, device, electronic equipment and storage medium
WO2010000171A1 (en) Communication establishing method, system and device
WO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
CN105207778A (en) Method of realizing package identity identification and digital signature on access gateway equipment
CN101471767B (en) Method, equipment and system for distributing cipher key
CN113904807B (en) Source address authentication method and device, electronic equipment and storage medium
JP2012034169A (en) Packet authentication system, authentication method, and program
JP4647481B2 (en) Encrypted communication device
WO2011035618A1 (en) Method and system for route address secure processing
CA2632159A1 (en) Method for securely associating data with http and https sessions
JP4420057B2 (en) Communication method, information processing system, and information processing apparatus
JP4003634B2 (en) Information processing device
US10079857B2 (en) Method of slowing down a communication in a network

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130507

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130506

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130726

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130726

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140715

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141111